Quanto è sicura una cosa del genere?
nell'home page chiedo utente e password.
Passo le variabili utente e password su ogni collegamento ad ogni pagina del tipo
<form name="form" method="post" action="pagina.php?uten=<? echo ("$uten"); ?>&pass=<? echo ("$pass"); ?>>
divido in due ogni pagina così
pagina.php:
-che contiene il controllo sulla password e visualizza se TRUE pagina.inc.php se FALSE errore.php
pagina.inc.php
-che contiene il corpo della pagina
Ciauz Ric
Prima o poi anch'io vi insegnerò qualcosa
Non è chiarissimo...
vuoi riportare in ogni link il nome utente e la password? :master:
Si, perchè tanto chi non conosce la password non entrerà mai e non vedrà mai sulla barra degli indirizzi utente e password e chi riesce ad entrare la conosce già! In ogni caso per non far visualizzare a chi è già entrato nella barra degli indirizzi la pass e uten creo un frame principale che mi visualizza solo l'indirizzo "assoluto".
Tutto al fine di non permettere a chiunque di, venendo a conoscenza di una "sottopagina" ovvero http://www.xxx.com/xxx/xxx.php, entrare senza passare dalla pagina principale.
A mio avviso, essendo php un linguaggio lato server, non c'è rischio che nessuno che non conosca già la password, possa entrare.
Ma sicuramente mi sbaglio.
Attendo commento. Ciao Ric
Prima o poi anch'io vi insegnerò qualcosa
cioè, fammi capire, tu fai una pagina di login in cui uno può loggarsi, e le pagine interne non le proteggi?
non mi sembra per niente sicuro, soprattutto se agli utenti registrati dai possibilità, ipoteticamente parlando, di agire su un tuo database, non è difficile vedere le pagine del tuo sito, anche se sono teoricamente "nascoste"
se fai un sistema di login ti conviene farlo bene, proteggendo ogni singola pagina, e senza lasciare dati in chiaro attraverso le querystring.
il consiglio che ti dò è quello di gestire il tutto tramite sessioni, cookie e database, poi vedi te.
ci sono un bel pò di discussioni a riguardo, ci sono anche pillole e tutorial, dai un'occhiata sul forum e su freephp.
Talvolta anche una persona apparentemente inutile si rivela un abile samurai dalla forza di mille uomini, dimostrando di poter rinunciare alla vita e che il suo cuore si è completamente identificato con quello del suo padrone
Il sistema che hai prospettato non è per niente sicuro.[supersaibal]Originariamente inviato da riccardo1975
Si, perchè tanto chi non conosce la password non entrerà mai e non vedrà mai sulla barra degli indirizzi utente e password e chi riesce ad entrare la conosce già! In ogni caso per non far visualizzare a chi è già entrato nella barra degli indirizzi la pass e uten creo un frame principale che mi visualizza solo l'indirizzo "assoluto".
Tutto al fine di non permettere a chiunque di, venendo a conoscenza di una "sottopagina" ovvero http://www.xxx.com/xxx/xxx.php, entrare senza passare dalla pagina principale.
A mio avviso, essendo php un linguaggio lato server, non c'è rischio che nessuno che non conosca già la password, possa entrare.
Ma sicuramente mi sbaglio.
Attendo commento. Ciao Ric
Un utente che conosce come fai a fare l'autenticazione potrebbe fregarti.
Se non vuoi che un utente non loggato non visiti una determinata pagina puoi fare così:
Fai eseguire il login e memorizzi in sessione (o su cookie) una variabile di controllo. All'apertura di una pagina protetta controlli che quella variabile di sessione sia settata. Se lo è bene, altrimenti fai un redirect su una pagina di default.
Peccato che poi nella cronologia restano memorizzati gli indirizzi con anche le varibili passate in get..[supersaibal]Originariamente inviato da riccardo1975
Si, perchè tanto chi non conosce la password non entrerà mai e non vedrà mai sulla barra degli indirizzi utente e password e chi riesce ad entrare la conosce già! In ogni caso per non far visualizzare a chi è già entrato nella barra degli indirizzi la pass e uten creo un frame principale che mi visualizza solo l'indirizzo "assoluto".
Tutto al fine di non permettere a chiunque di, venendo a conoscenza di una "sottopagina" ovvero http://www.xxx.com/xxx/xxx.php, entrare senza passare dalla pagina principale.
A mio avviso, essendo php un linguaggio lato server, non c'è rischio che nessuno che non conosca già la password, possa entrare.
Ma sicuramente mi sbaglio.
Attendo commento. Ciao Ric
Quindi se qualcun altro userà quel computer (magari un pc pubblico, che so internet caffè o università, o anche un pc in casa condiviso) la tua richiesta di user e pass è totalmente inutile..
Perchè non chiedere user e pass in homepage, passarle tramite post ad una pagina che le valida, e attiva poi una variabile di sessione, che controllerai ad ogni pagina interna?
Se è settata dai accesso se no rimandi in home page per fare il login
"La teoria è quando si sa tutto e niente funziona. La pratica è quando
tutto funziona e nessuno sa il perché. In questo caso, abbiamo messo
insieme la teoria e la pratica: non c'è niente che funziona... e nessuno sa
il perché!" (Albert Einstein)
Thenks, non conosco ancora le variabili di sessione e non sò come usarle. C'è un tutorial o puoi spiegarmi la sintassi e l'uso visto che credo che tu abbia capito precisamente a che cosa mi servono?
Grazie Ric
Prima o poi anch'io vi insegnerò qualcosa
potresti iniziare da qui:
http://forum.html.it/forum/showthrea...hreadid=291909
http://forum.html.it/forum/showthrea...postid=2105665
http://freephp.html.it/articoli/view...olo.asp?id=132
ce ne sono tanti altri!basta una piccola ricerca.
Talvolta anche una persona apparentemente inutile si rivela un abile samurai dalla forza di mille uomini, dimostrando di poter rinunciare alla vita e che il suo cuore si è completamente identificato con quello del suo padrone
Le variabili di sessione vengono inglobate in un array (più precisamente vengono scritti i valori su un file di testo temporaneo).
Per settarla basta fare
$_SESSION['loggato'] = true;
per controllarla farai
if ($_SESSION['loggato']) {
ricorda che all'inizio di ogni script (cioè in ogni pagina) devi mettere questa istruzione:
session_start();
per memorizzare:[supersaibal]Originariamente inviato da riccardo1975
Thenks, non conosco ancora le variabili di sessione e non sò come usarle. C'è un tutorial o puoi spiegarmi la sintassi e l'uso visto che credo che tu abbia capito precisamente a che cosa mi servono?
Grazie Ric
$_SESSION['nomevaribile']="valore che ti pare";
Funziona come gli array $_POST e $_GET...
Devi ricordarti di mettere all'inizio di ogni pagina in cui utilizzi le sessioni la dichiarazione:
session_start();
E dal momento che l'hai dichiarata in ogni pagina (senza form o query string) hai settata la varibile
$_SESSIONE['nomevariabile']
Quindi dalla tua homepage fai un form con user e pass e li passi via post ad una pagina di controllo.
Questa pagina di controllo effettua la richiesta al database passando user e pass, qualora esista l'accoppiata user pass, allora avvii la varibile di sessione e reindirizzi alla pagina ceh ti interessa..
Poi ad ogni pagina inserisci:
if(!isset($_SESSION['tuavaribile'])){
rimanda alla pagina di login con eventuale errore;
}else{
visualizza la pagina;
}
"La teoria è quando si sa tutto e niente funziona. La pratica è quando
tutto funziona e nessuno sa il perché. In questo caso, abbiamo messo
insieme la teoria e la pratica: non c'è niente che funziona... e nessuno sa
il perché!" (Albert Einstein)
Permessi di invio
Rispondi quotando